W sieci pojawił się exploit wykorzystujący przepełnienie bufora w CitectSCADA, systemie służącym do monitorowania i zarządzania procesami przemysłowymi.

Systemy SCADA (Supervisory Control and Data Acquisition) służą do sterowania urządzeniami automatyki przemysłowej i zbierania danych o ich funkcjonowaniu. Są powszechnie stosowane w elektrowniach, rafineriach, gazociągach, oczyszczalniach ścieków i zakładach przemysłowych.

Opublikowany 5 września exploit wykorzystuje upublicznioną 11 czerwca 2008 roku lukę w systemie CitectSCADA firmy Citect, jednym z popularniejszych systemów tego typu (w 80 krajach sprzedanych łącznie ponad 150 tysięcy licencji). Oprogramowanie to jest uruchomione na standardowych komputerach z systemem Microsoft Windows. Odkryta luka pozwala na zdalne przeprowadzenie ataku DoS lub wykonanie dowolnego kodu na zaatakowanym systemie. Jedynym warunkiem jest możliwość połączenia do zdalnego systemu na port 20222/TCP.

W dniu upublicznienia luki Citect udostępnił poprawki do wszystkich podatnych wersji oprogramowania. Stwierdzono także, że problem dotyczy tylko zakładów przemysłowych podłączających swoje systemy bezpośrednio do Internetu, bez ochrony za pomocą firewalli – systemy automatyki przemysłowej są zazwyczaj ściśle odseparowane od publicznych sieci. Mimo tego, po udostępnieniu exploita w Internecie trwają intensywne skanowania portu 20222/TCP. Wzrost ruchu na tym porcie został zaobserwowany między innymi przez serwis SANS Internet Storm Center. Skanowania te wykrył również system wczesnego ostrzegania o zagrożeniach w sieci Arakis.

Tags: ARAKIS, exploit, luka, scada

This entry was posted on 1 October 2008 at 2:05 PM and is filed under Posty. You can follow any responses to this entry through theRSS 2.0 feed.